Il CERT-AgID ha segnalato vulnerabilità critiche nelle librerie .NET (sviluppate da terze parti) utilizzate per l’autenticazione tramite SPID (Sistema Pubblico di Identità Digitale) e CIE (Carta d’Identità Elettronica).
Queste falle di sicurezza (CVE-2025-24894, CVE-2025-24895), individuate dal team di ricerca Shielder, avrebbero potuto consentire a un attaccante di alterare le risposte SAML e impersonare utenti legittimi, con gravi conseguenze per la sicurezza dei sistemi coinvolti.
Indice degli argomenti
SPID e CIA: la natura della vulnerabilità
Sfruttando una debolezza nella gestione delle risposte SAML (Security Assertion Markup Language), il protocollo utilizzato per lo scambio di dati di autenticazione tra identity provider e service provider, un malintenzionato avrebbe potuto modificare il contenuto della risposta SAML per ottenere accesso fraudolento a servizi protetti, senza disporre di credenziali valide.
“Il problema interessa esclusivamente i Service Provider che hanno implementato l’autenticazione a SPID o CIE utilizzando le suddette librerie .NET”, si legge nell’annuncio ufficiale del CERT-AgID, avvertendo che: “Un attaccante potrebbe generare una risposta SAML arbitraria che, a causa della falla, verrebbe accettata dai Service Provider vulnerabili. Ciò gli consentirebbe di impersonare qualsiasi utente SPID o CIE, con gravi rischi per la sicurezza”.
Le misure adottate per la sicurezza
Per contrastare questa minaccia, il CERT-AgID ha adottato diverse misure:
Aggiornamento delle librerie vulnerabili: due (qui e qui) delle tre librerie .NET colpite sono state aggiornate per eliminare il problema sull’autenticazione SPID e CIE.
Dismissione di una libreria: Una delle librerie non è stata aggiornata e, di conseguenza, è stata dichiarata obsoleta e non più sicura per l’uso.
Nuovi controlli nel Validator SAML SP: l’Agenzia per l’Italia Digitale (AgID) ha introdotto nuove verifiche di collaudo nei sistemi di validazione SAML per impedire attacchi simili in futuro (controlli 112 SAML Response Signature Verification Bypass – Assertion non firmatae 113 SAML Response Signature Verification Bypass – Assertion corrotta).
Raccomandazioni per i Service Provider
I gestori di servizi online che utilizzano SPID e CIE devono agire tempestivamente per garantire la sicurezza delle autenticazioni.
Le principali azioni da intraprendere includono:
- Aggiornare immediatamente le librerie .NET utilizzate per l’autenticazione.
- Verificare la conformità ai nuovi controlli introdotti nel Validator SAML SP.3.
Con SPID e CIE sempre più centrali nell’accesso ai servizi pubblici e privati, garantire la sicurezza di questi sistemi è fondamentale per la protezione dei dati degli utenti.
Le vulnerabilità scoperte evidenziano l’importanza di un aggiornamento costante dei software legati all’autenticazione digitale.
